`Методические и организационные основы аудита высшими органами государственного финансового контроля информационных систе

Счетная палата Российской Федерации
ГОСУДАРСТВЕННЫЙ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ
СИСТЕМНОГО АНАЛИЗА
УДК
Nо госрегистрации
Инв. Nо

`УТВЕРЖДАЮ`
Директор НИИ СА СП РФ
_______________ С.М. Шахрай
`____` _____________ 2003 г.


ОТЧЕТ
О НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ РАБОТЕ
по теме:
`Методические и организационные основы аудита
высшими органами государственного финансового контроля
информационных систем общегосударственного уровня`

Шифр `Аудит ИТ-2 СП`
на 96 листах

Заместитель директора
НИИ СА СП РФ
В.В. Омельченко
Научный руководитель
С.В. Самыловский

Москва 2003

СПИСОК ИСПОЛНИТЕЛЕЙ

Руководитель темы, ответственный испол-нитель

_____________________ С.В. Самыловский Изложение текста:
введение, заключе-ние, раздел 1, раз-дел 2, раздел 4,
Приложение 1

Исполнитель -
к.т.н, профессор

_____________________ В.С. Лаптев Изложение текста:
заключение,
Приложение 3

Исполнитель - эксперт

_____________________ А.В. Петренко
Изложение текста:
раздел 3,
Приложение 3

Исполнитель - эксперт

_____________________ И.В. Наумов
Изложение текста:
реферат, раздел 1, раздел 2,
Приложение 1,
Иллюстрации:
табл. NоNо 1-4

Исполнитель -
переводчик

_____________________ Н.В. Богачева
Перевод текста:
Приложение 2, При-ложение 4

Нормоконтролер
_____________________ Ю.С. Макеева
Оформление текста, иллюстрации:
рис. NоNо 1-5

РЕФЕРАТ
Отчет по НИР `Методические и организационные ос-новы аудита высшими органами государственного финансового контроля информационных систем об-щегосударственного уровня` (Шифр `Аудит ИТ-2 СП`) содержит - 96 страниц, в том числе 5 рисунков и 4 таблицы.
Заказчик работ - Счетная палата Российской Федера-ции.
Головной исполнитель работ - НИИ Системного ана-лиза СП РФ.
Срок начала работ - 30.05.2003.
Срок окончания работ - 15.07.2003.
Отчет выполнен в соответствии с ГОСТ 7.32-2001 `Межгосударственный стандарт. Отчет о научно - ис-следовательской работе. Структура и правила оформ-ления`.
В рамках настоящей НИР подготовлены материалы для рабочей группы ЕВРОСАИ и комитета ИНТОСАИ по IТ-аудиту.

Ключевые слова:
информационно-коммуникационные технологии (ИКТ), расходы бюджета, электронное правительство, аудит, методы и технологии аудита, информационная система, информационный ресурс, аудит государст-венных информационных систем и ресурсов, элек-тронное правительство (е-правительство).
Объект исследования:
Практика национальных органов финансового кон-троля по аудиту общегосударственных целевых про-грамм и проектов, связанных с созданием, эксплуата-цией и развитием информационных систем и ресур-сов.
Цель работы:
Разработка научно-методических и организационных основ аудита высшими органами государственного финансового контроля государственных (региональ-ных) целевых программ и проектов, связанных с вне-дрением информационно-коммуникационных техно-логий в практику государственного управления, в рамках программ исследований, проводимых комите-том ИНТОСАИ по IТ-аудиту и рабочей группой ЕВРОСАИ по информационным технологиям.
Полученные результаты:
#61485; Проведена оценка возможностей использования существующих методов и технологий аудита (тра-диционного и аудита информационных систем) для целей финансового контроля общегосударствен-ных информационных систем и проектов.
#61485; Проведен анализ материалов рабочей группы ЕВРОСАИ по информационным технологиям по вопросам аудита информационных систем и про-ектов.
#61485; Сформулированы основные направления развития структуры специальных методов аудита информа-ционных систем и проектов общегосударственного уровня.
#61485; Разработаны предложения по доработке програм-мы обучения аудиту информационных технологий, реализуемой в рамках комитета ИНТОСАИ по IТ-аудиту.
#61485; Разработана структура методического обеспечения аудита информационных систем общегосударст-венного уровня.
#61485; Определены основные направления работ по реа-лизации в Счетной палате Российской Федерации аудита информационных систем.
#61485; Подготовлены материалы для рабочей группы ЕВРОСАИ по информационным технологиям.

СОДЕРЖАНИЕ
РЕФЕРАТ 3
Ключевые слова: 3
Объект исследования: 3
Цель работы: 3
Полученные результаты: 4
СОДЕРЖАНИЕ 5
НОРМАТИВНЫЕ ССЫЛКИ 6
ОПРЕДЕЛЕНИЯ 7
СОКРАЩЕНИЯ И ОБОЗНАЧЕНИЯ 9
ВВЕДЕНИЕ 10
Общие положения 10
Назначение документа 13
Область охвата 14
Связанные документы 15
ОСНОВНАЯ ЧАСТЬ 16
1 АНАЛИЗ ВОЗМОЖНОСТЕЙ ИСПОЛЬЗОВАНИЯ СУЩЕСТВУЮЩИХ МЕТОДОВ И ТЕХНОЛОГИЙ ОБЩЕГО АУДИТА И ИТ-АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ДЛЯ ЦЕЛЕЙ ГОСУДАРСТВЕННОГО ФИНАНСОВОГО КОНТРОЛЯ 16
1.1 Общие положения 16
1.2 Основные типы объектов аудита 17
1.3 Основные виды аудита информационных систем и ресурсов 18
1.4 Основные формы финансового контроля общегосударственных информационных систем 19
1.5 Применимость существующих видов аудита 19
2. НАПРАВЛЕНИЯ РАЗВИТИЯ МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ОБЩЕГОСУДАРСТВЕННОГО УРОВНЯ 27
2.1 Этапы развития общегосударственных информационных систем и ресурсов 27
2.2 Развитие методов аудита информационных систем общегосударственного уровня 30
3. ПРЕДЛОЖЕНИЯ ПО ИЗМЕНЕНИЮ ПРОГРАММЫ ОБУЧЕНИЯ АУДИТУ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, РЕАЛИЗУЕМОЙ В РАМКАХ КОМИТЕТА ИНТОСАИ 34
4. АНАЛИЗ МАТЕРИАЛОВ `РАБОЧЕЙ ГРУППЫ ЕВРОСАИ ПО ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ` ПО ВОПРОСАМ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ОБЩЕГОСУДАРСТВЕННОГО УРОВНЯ 36
4.1 Решения Рабочей группы ИВРОСАИ по информационным технологиям 36
4.2 Обобщение материалов Рабочей группы по методам аудита информационных систем общегосударственного уровня 37
5. ОСНОВНЫЕ НАПРАВЛЕНИЯ РАБОТ ПО РЕАЛИЗАЦИИ В СП РФ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ 38
5.1 Организационное обеспечение аудита информационных систем 38
5.2 Структура методического обеспечение аудита информационных систем и ресурсов 40
5.3 Основные направления работ по реализации в СП РФ аудита информационных систем 41
ЗАКЛЮЧЕНИЕ 45
Результаты выполнения НИР 45
Рекомендации по использованию результатов работы 46
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 47
ПРИЛОЖЕНИЯ 48
Приложение 1 Отчетные материалы для ЕВРОСАИ `Методы аудита работ по созданию е-правительства` 48
Приложение 2 Отчетные материалы для ЕВРОСАИ `Методы аудита работ по созданию е-правительства` (на английском языке) 48
Приложение 3 `Предложения по доработке программы обучения аудиту информационных технологий` 48
Приложение 4 `Предложения по доработке программы обучения аудиту информационных технологий` (на английском языке) 48

НОРМАТИВНЫЕ ССЫЛКИ
В настоящем отчете о НИР использованы ссылки на следующие стандарты:
1. Оценка и аттестация зрелости процессов созда-ния и сопровождения программных средств и информационных систем (ISО/IЕС ТR 15504-СММ)/ Пер. с англ. А. С. Агапов, Н. Э. Михай-ловский, А. А. Мкртумян. М.: Бизнес и книга, 2001.
2. Rеfеrеnсе mоdеl ехtеnsiоns tо ТR 15504-2 fоr Асquirеr рrосеssеs. Рrороsеd Аmеndmеnt tо ISО/IЕС ТR 15504-2. То bе submittеd tо ISО/IЕС SС7, 16/12/98.
3. ISО 9000:2000, ISО 9001:2001, ISО 9004:2000.
4. Соntrоl Оbjесtivеs fоr Infоrmаtiоn аnd rеlаtеd Тесhnоlоgy (СОВIТ).
5. ISО/IЕС СD 15288 FСD Systеm Еnginееring -- Systеm Lifе Сyсlе Рrосеssеs, 2001.
6. Рrоjесt Маnаgеmеnt Воdy оf Кnоwlеdgе (АNSI/РМI 99-001-2000).
ОПРЕДЕЛЕНИЯ
В настоящем отчете о НИР применяют следующие термины с соответствующими определениями:
е-правительство означает поддержку связей, процессов и политиче-ского участия в пределах сфер деятельности госу-дарственных учреждений всех уровней (федераль-ный/региональный/местный), а также между госу-дарственными учреждениями и всеми группами общества (граждане/предприятия/учреждения) на основе обеспечения интерактивного взаимодейст-вия и доступа к соответствующим информацион-ным ресурсам, сформированным в результате дея-тельности государственных учреждений;
е-организация подразумевает использование информационно-коммуникационных технологий для обеспечения интерактивного взаимодействия между сотрудни-ками предприятия или органа власти, а так же дос-тупа к соответствующим информационным ресур-сам, сформированным в результате деятельности организации;
IТ-аудит
(ИТ-аудит) Аудит информационных систем и информационных ресурсов - оценка текущего состояния различных (в том числе и финансовых) аспектов информацион-ных систем и ресурсов на соответствие установлен-ным нормам, стандартам, требованиям;
Программа согласованный по ресурсам, исполнителям и сро-кам осуществления комплекс научно-исследовательских, опытно-конструкторских, про-изводственных, социально-экономических, органи-зационно-хозяйственных и других мероприятий и проектов, обеспечивающих эффективное решение задач в области государственного, экономического, экологического, социального и культурного разви-тия государства;
Проект Уникальный процесс, состоящий из набора взаимо-увязанных и контролируемых работ с датами нача-ла и окончания и предпринятый, чтобы достичь це-ли-задачи (оbjесtivе) соответствия конкретным тре-бованиям, включая ограничения по времени, затра-там и ресурсам;
Информационная система организационно упорядоченная совокупность до-кументов (массивов документов) и информацион-но-коммуникационных технологий, реализующих информационные процессы;
Информационный ресурс отдельные документы и отдельные массивы доку-ментов, документы и массивы документов в ин-формационных системах: библиотеках, архивах, фондах, банках данных, других видах информаци-онных систем;
Информационно-коммуникационные технологии Все средства и технологии, предназначенные для обработки информации и ее передачи (коммуника-ции).

СОКРАЩЕНИЯ И ОБОЗНАЧЕНИЯ
В целях данного документа используются следующие обозначения:
ВКО Высший контрольный орган
ГИР Государственный информационный ресурс
ИС Информационная система
ИАС Информационно - аналитическая система
ИР Информационный ресурс
ИКТ Информационно-коммуникационные технологии
МП Менеджмент проектов
НИИ СП Научно-исследовательский институт Системного ана-лиза СП РФ
НИР Научно - исследовательская работа
СП РФ Счетная палата Российской Федерации
РФ Российская Федерация
УП Управление проектами
ФЦП Федеральная целевая программа
СОВНЕТ Ассоциация Управления Проектами (Россия)
СОВIТ Соntrоl Оbjесtivеs fоr Infоrmаtiоn аnd rеlаtеd Тесhnоlоgy - контрольные объекты для информационной и смеж-ных технологии.
РМ Рrоjесt Маnаgеmеnt
ISАСF Фонд Аудита и Контроля Информационных Систем.
ВВЕДЕНИЕ

Общие положения
В последние несколько лет практически все развитые и многие развивающиеся страны начали разрабаты-вать государственные программы формирования ин-формационного общества, а некоторые уже присту-пили к их реализации. Первая такая программа, из-вестная как `Национальная информационная инфра-структура`, появилась в США в начале 90-х годов. В конце 1999 года Комиссия Европарламента выступила с инициативой `Электронная Европа`, призванной активизировать деятельность по формированию об-щеевропейского информационного общества.
Наряду с этой инициативой национальные программы разрабатываются в Великобритании, Франции и дру-гих странах Европы и мира.
Ключевая цель этих программ состоит в достижении лидирующих позиций в экономике и социальном раз-витии общества, они имеют ярко выраженную соци-ально-экономическую направленность и определяют в качестве приоритетных следующие направления: пра-вовое развитие, кадровое обеспечение, совершенство-вание информационной и коммуникационной инфра-структуры, становление электронного правительства.
Отличительная особенность большинства западных программ и стратегий их реализации состоит также в том, что все используемые информационно-коммуникационные технологии - электронное прави-тельство, электронная коммерция и бизнес - рассмат-риваются не как самостоятельные изолированные сферы деятельности, а как интегрированная среда, представляющая собой единый фундамент для пере-хода к цифровой экономике и информационному об-ществу.
Проект `электронного правительства` включен в пе-речень стратегических системных мер по реализации `Программы социально-экономического развития Российской Федерации на среднесрочную перспекти-ву (2003-2005 годы)`. Реализация концепции е-правительства направлена на повышение качества го-сударственных услуг, постоянный рост эффективно-сти деятельности органов государственной власти, обеспечения большей информационной открытости властных структур.
Следует обратить особое внимание на то, что термин `электронное правительство` подразумевает органи-зацию государственного управления на основе средств ИКТ, предоставление услуг госорганов различным социальным группам общества с помощью электрон-ных средств и обеспечение обратной связи `общест-во-власть`.
В большинстве российских источников понятие `электронное правительство` сведено к электронной среде общения власти с гражданским обществом. На Западе, в первую очередь в США и Великобритании, оно рассматривается скорее как концепция, направ-ленная на повышение эффективности деятельности государства в целом. Такое понимание е-правительства включает в себя свободу доступа граж-дан к государственной информации, перевод госорга-нов на безбумажное делопроизводство, установление для всех госорганов показателей эффективности рабо-ты на год и регулярный их контроль, проводимый как Парламентом, так и гражданами.
Столь крупные задачи, включающие не только эконо-мическую и социальную, но и политическую состав-ляющую, должны находится под самым пристальным контролем государства. Безусловно, надзорная и кон-тролирующая функции государства должны осущест-вляться на всех этапах реализации общегосударствен-ных информационных проектов, в различных формах и видах с учетом общепризнанной мировой практики и национальных ограничений.
Бюджетные инвестиции в информационные техноло-гии крайне необходимы федеральным и региональ-ным органам государственного управления для обес-печения эффективного решения стоящих перед ними задач в области управления и контроля, для предос-тавления дополнительных услуг и информации насе-лению.
Этим объясняется особое внимание к использованию современных информационных технологий со сторо-ны федерального и регионального руководства, сило-вых министерств и ведомств, органов финансового контроля, в том числе и контрольно-счетных органов. Такое внимание выражается в устойчивом росте (в удельном и абсолютном выражениях) бюджетных расходов, представляющих собой инвестиции в теле-коммуникации и сети, новые операционные системы и программное обеспечение, финансирование суще-ствующей телекоммуникационной и информационной инфраструктуры, действующих центров сбора и об-работки данных.
Определяющая роль ИКТ в эффективности достиже-ния поставленных целей, в особенности в нынешнем мире растущей взаимозависимости и цифровых тех-нологий, ставит перед федеральными и региональны-ми органами государственного управления важную задачу по разработке таких процессов принятия ре-шений, которые обеспечивали бы высокую результа-тивность управления инвестируемыми средствами при приемлемых затратах.
Для контрольно-счетных органов в этих условиях не менее важной задачей становится контроль законно-сти принимаемых инвестиционных решений и эффек-тивности использования бюджетных средств на вне-дрение и использование общегосударственных ин-формационных систем и ресурсов.
При этом под эффективным использованием бюд-жетных средств на ИКТ понимается достижение, в рамках установленного объема бюджетных средств, заданного роста показателей эффективности деятель-ности организации, при условии соответствия вне-дряемых или используемых информационных систем и ресурсов установленным нормативам, стандартам, техническим условиям и требованиям.
Используемые в настоящее время методы `традици-онного` финансового контроля не позволяют в пол-ной мере оценить эффективность использования бюджетных средств на ИКТ в системе органов госу-дарственного управления, т.к. не предусматривают механизмов оценки целесообразности создания (за-купки), качества исполнения, проектирования, разра-ботки, внедрения, сопровождения и использования информационных систем и технологий, их соответст-вия действующим нормативам, стандартам, техниче-ским условиям или требованиям.
Для решения подобных проблем в мировой практике дополнительно используются специальные методы и технологии аудита, объединенные общим понятием `ИТ-аудит` (IТ-аудит).


Назначение документа
Выводы и рекомендации, изложенные в данном доку-менте, могут быть использованы для определения ос-новных направлений и видов контрольной деятельно-сти высших органов государственного финансового контроля при проведении проверок по расходованию бюджетных средств на информационно-коммуникационные технологии (ИКТ) в сфере госу-дарственного управления.
Предлагаемая классификация методов и технологий аудита информационных систем и информационных ресурсов может быть использована при разработке (доработке) специальных методов аудита государст-венных и региональных целевых программ, связанных с внедрением ИКТ.
Документ содержит предложения по организацион-ному и методическому обеспечению контрольной деятельности Счетной палаты Российской Федерации, связанной с аудитом информационных систем обще-государственного уровня.
Материалы, представляемые в ЕВРОСАИ, могут быть использованы для рассмотрения на заседании рабочей группы ЕВРОСАИ по информационным технологиям в качестве предложений Счетной палаты Российской Федерации при согласовании подходов по разработке методов аудита работ по переходу е е-правительству. Отчет по НИР в виде приложений содержит следую-щие материалы, подготовленные в соответствии с требованиями ТЗ:
#61485; Приложение NоNо 1, 2. Материалы для рабочей группы ЕВРОСАИ по информационным техноло-гиям `Методы аудита работ при переходе к Е-правительству` (на русском и английском языках);
#61485; Приложение NоNо 3, 4. Материалы для комитета ИНТОСАИ по IТ-аудиту `Предложения по дора-ботке программы обучения аудиту информацион-ных технологий` (на русском и английском язы-ках).

Область охвата
Материалы отчета базируются на анализе зарубежной и отечественной практики контроля эффективности расходования средств на внедрение ИКТ в органах го-сударственного управления и коммерческих органи-зациях, зарубежном опыте проведения аудита круп-ных информационных систем в государственных и коммерческих структурах.
При подготовке отчета использовались признанные международным сообществом классификации мето-дов общего аудита, аудита эффективности и IТ-аудита.
Область охвата исследования включает государствен-ные и региональные целевые программы и проекты, связанные с внедрением ИКТ в сферу государствен-ного управления, а также общегосударственные ин-формационные проекты социальной направленности.


Связанные документы
1. Договор от 30.05.2003 Nо 15-05р-03-143.
2. Отчет по НИР `Исследование отечественного и за-рубежного опыта создания электронного правитель-ства и подходов к его аудиту`, шифр `Аудит ИТ-1 СП`.http://nvolgatrade.ru/